Post on 18-Jul-2020
WW
W.
IN
CE
NT
EA
.C
OM
|
2
01
9
Coimas RGPD
Exemplos de casos reais
RGPD em Números (fev 2019)
De acordo com a informação recolhida junto do European Data Protection Board (EDPB) foram reportadas nos vários países do Espaço Económico Europeu (EEE) 94.622 queixas, 64.684 violações de dados pessoais, 47.020 de outro tipo de anomalias relacionadas com a privacidade num total de 206.326 casos de proteção de dados, dos quais, 52% estão dados como encerrados, 47% sob investigação e 1% em recurso, tendo sido aplicado um total de €55, 995,871 em coimas.
No caso específico português, a CNPD já aplicou 4 coimas no montante total de €420,000 e informa que foram abertos 768 processos de averiguação, que tiveram origem em queixas, participações de autoridades e iniciativa da própria autoridade de fiscalização estando vários processos a decorrer, que muito previsivelmente poderão redundar na aplicação de coima.
Dinamarca
VIOLAÇÃO: Deficiente pseudonimização. Não respeito pelo princípio da minimização. Dados pessoais conservados sem uma finalidade
determinada, explícita e legitima.
VALOR: 1,2 milhões de coroas dinamarquesas (2,8% do volume anual de negócios).
DATA: 27 de março 2019.
FONTE: https://news.bloomberglaw.com/privacy-and-data-security/denmark-recommends-first-fine-under-new-eu-privacy-law
AUTORIDADE DE CONTROLO: Data Protection Authority Datatilsynet (DPA).
EMPRESA: https://www.taxa.dk/
CENÁRIO: A TAXA 4x35 pseudonimiza as informações dos clientes depois de dois anos, mas a autoridade descobriu que havia apenas
excluído os nomes dos clientes, mantendo os números de telefone por mais três anos para salvaguardar a integridade referencial da base de
dados. Para a DPA “não se pode definir um prazo de apagamento que seja três anos mais longo que o necessário, simplesmente porque o
sistema informático da empresa dificulta o cumprimento das regras”. A TAXA 4x35 apagou o nome dos clientes, mas os mesmos continuavam
identificáveis através do número de telefone.
Polónia
VIOLAÇÃO: Não cumprimento do artigo 14º do RGPD “Informações a facultar quando os dados pessoais não são recolhidos junto do titular”.
VALOR: €220,000 (duzentos e vinte mil euros).
DATA: 26 de março 2019.
FONTE: https://uodo.gov.pl/en/553/1009
AUTORIDADE DE CONTROLO: Personal Data Protection Office (UODO).
EMPRESA: https://www.bisnode.com/
CENÁRIO: Uma empresa de marketing digital sediada na Suécia, mas com escritório na Polónia, a BISNODE, recorre à extração de contactos
de páginas web de domínio público tendo recolhido endereços postais de 6 milhões de pessoas e endereços de email de cerca de 679 mil
pessoas. Para os que tinham endereço de correio eletrónico informou-os dando cumprimento ao artigo 14º, não o tendo feito para os que não
tinham.
Portugal
VIOLAÇÃO: Não cumprimento do artigo 15º do RGPD “Direito de acesso”.
VALOR: €20,000 (vinte mil euros).
DATA: 24 de fevereiro 2019.
FONTE: https://www.publico.pt/2019/02/24/sociedade/noticia/notificadas-222-violacoes-dados-pessoais-nove-meses-1863162
AUTORIDADE DE CONTROLO: CNPD
EMPRESA: Não identificada.
CENÁRIO: Uma empresa recusou-se a dar acesso à gravação de uma chamada a um cidadão.
Alemanha
VIOLAÇÃO: Não cumprimento do artigo 32º 1 a) do RGPD.
VALOR: €20,000 (vinte mil euros).
DATA: 27 de novembro 2018
FONTE: https://www.welivesecurity.com/2018/11/27/german-chat-site-faces-fine-gdpr/
AUTORIDADE DE CONTROLO:
EMPRESA: https://www.knuddels.de/
CENÁRIO: A plataforma social Knuddels armazenava as palavras-passe dos utilizadores em “clear text” sem hashing, ou seja, sem qualquer
proteção de segurança.
Portugal
VIOLAÇÃO: Violação do princípio da integridade e confidencialidade. Violação do princípio da minimização de dados. Violação do princípio da
responsabilidade.
VALOR: €400,000 (quatrocentos mil euros).
DATA: 19 de outubro 2018.
FONTE: http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-
acessos-indevidos-a-processos-clinicos
AUTORIDADE DE CONTROLO: CNPD
EMPRESA: Centro Hospitalar Almada e Barreiro
CENÁRIO: Inexistência de regras internas para a criação de contas ou para os diferentes níveis de acesso à informação clínica. Não garantir
que as contas de médicos que já não estão a trabalhar no Barreiro são eliminadas. Profissionais com funções na área dos serviços sociais
dispor de acessos que devem ser da exclusividade dos médicos. Não aplicar as medidas técnicas e organizativas indispensáveis à identificação
e autenticação dos utilizadores, bem como à gestão e delimitação dos seus perfis de acesso à informação, estratificando-os de acordo com os
diferentes privilégios de acesso correspondentes às categorias profissionais dos seus trabalhadores e ainda à garantia da segurança da
informação, para além de lhe não dispor de um sistema de auditoria fiável de tais identificações, acessos e garantias de segurança.
Áustria
VIOLAÇÃO: Monitorização do espaço público.
VALOR: €4800,00 (quatro mil e oitocentos euros).
DATA: 19 de setembro 2018
FONTE: https://www.pressreader.com/austria/salzburger-nachrichten/20180919/281801399873241
AUTORIDADE DE CONTROLO: Austrian Data Protection Authority (DSB).
EMPRESA: Não identificada.
CENÁRIO: Um comerciante local tinha uma câmara de CCTV a capturar demasiado espaço público.
Qual será a próxima?
VIOLAÇÃO:
VALOR:
DATA:
FONTE:
AUTORIDADE DE CONTROLO:
EMPRESA:
CENÁRIO:
W W W . I N C E N T E A . C O M
Nós podemos ajudar.
miguel.soares@incentea.com
Áustria
VIOLAÇÃO: Monitorização do espaço público.
VALOR: €4800,00 (quatro mil e oitocentos euros).
DATA: 19 de setembro 2018
FONTE: https://www.pressreader.com/austria/salzburger-nachrichten/20180919/281801399873241
AUTORIDADE DE CONTROLO: Austrian Data Protection Authority (DSB).
EMPRESA: Não identificada.
CENÁRIO: Um comerciante local tinha uma câmara de CCTV a capturar demasiado espaço público.
Portugal
VIOLAÇÃO: Violação do princípio da integridade e confidencialidade. Violação do princípio da minimização de dados. Violação do princípio da
responsabilidade.
VALOR: €400,000 (quatrocentos mil euros).
DATA: 19 de outubro 2018.
FONTE: http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-
acessos-indevidos-a-processos-clinicos
AUTORIDADE DE CONTROLO: CNPD
EMPRESA: Centro Hospitalar Almada e Barreiro
CENÁRIO: Inexistência de regras internas para a criação de contas ou para os diferentes níveis de acesso à informação clínica. Não garantir
que as contas de médicos que já não estão a trabalhar no Barreiro são eliminadas. Profissionais com funções na área dos serviços sociais
dispor de acessos que devem ser da exclusividade dos médicos. Não aplicar as medidas técnicas e organizativas indispensáveis à identificação
e autenticação dos utilizadores, bem como à gestão e delimitação dos seus perfis de acesso à informação, estratificando-os de acordo com os
diferentes privilégios de acesso correspondentes às categorias profissionais dos seus trabalhadores e ainda à garantia da segurança da
informação, para além de lhe não dispor de um sistema de auditoria fiável de tais identificações, acessos e garantias de segurança.
Alemanha
VIOLAÇÃO: Não cumprimento do artigo 32º 1 a) do RGPD.
VALOR: €20,000 (vinte mil euros).
DATA: 27 de novembro 2018
FONTE: https://www.welivesecurity.com/2018/11/27/german-chat-site-faces-fine-gdpr/
AUTORIDADE DE CONTROLO:
EMPRESA: https://www.knuddels.de/
CENÁRIO: A plataforma social Knuddels armazenava as palavras-passe dos utilizadores em “clear text” sem hashing, ou seja, sem qualquer
proteção de segurança.
Portugal
VIOLAÇÃO: Não cumprimento do artigo 15º do RGPD “Direito de acesso”.
VALOR: €20,000 (vinte mil euros).
DATA: 24 de fevereiro 2019.
FONTE: https://www.publico.pt/2019/02/24/sociedade/noticia/notificadas-222-violacoes-dados-pessoais-nove-meses-1863162
AUTORIDADE DE CONTROLO: CNPD
EMPRESA: Não identificada.
CENÁRIO: Uma empresa recusou-se a dar acesso à gravação de uma chamada a um cidadão.
Polónia
VIOLAÇÃO: Não cumprimento do artigo 14º do RGPD “Informações a facultar quando os dados pessoais não são recolhidos junto do titular”.
VALOR: €220,000 (duzentos e vinte mil euros).
DATA: 26 de março 2019.
FONTE: https://uodo.gov.pl/en/553/1009
AUTORIDADE DE CONTROLO: Personal Data Protection Office (UODO).
EMPRESA: https://www.bisnode.com/
CENÁRIO: Uma empresa de marketing digital sediada na Suécia, mas com escritório na Polónia, a BISNODE, recorre à extração de contactos
de páginas web de domínio público tendo recolhido endereços postais de 6 milhões de pessoas e endereços de email de cerca de 679 mil
pessoas. Para os que tinham endereço de correio eletrónico informou-os dando cumprimento ao artigo 14º, não o tendo feito para os que não
tinham.
Dinamarca
VIOLAÇÃO: Deficiente pseudonimização. Não respeito pelo princípio da minimização. Dados pessoais conservados sem uma finalidade
determinada, explícita e legitima.
VALOR: 1,2 milhões de coroas dinamarquesas (2,8% do volume anual de negócios).
DATA: 27 de março 2019.
FONTE: https://news.bloomberglaw.com/privacy-and-data-security/denmark-recommends-first-fine-under-new-eu-privacy-law
AUTORIDADE DE CONTROLO: Data Protection Authority Datatilsynet (DPA).
EMPRESA: https://www.taxa.dk/
CENÁRIO: A TAXA 4x35 pseudonimiza as informações dos clientes depois de dois anos, mas a autoridade descobriu que havia apenas
excluído os nomes dos clientes, mantendo os números de telefone por mais três anos para salvaguardar a integridade referencial da base de
dados. Para a DPA “não se pode definir um prazo de apagamento que seja três anos mais longo que o necessário, simplesmente porque o
sistema informático da empresa dificulta o cumprimento das regras”. A TAXA 4x35 apagou o nome dos clientes, mas os mesmos continuavam
identificáveis através do número de telefone.